El nuevo modelo de inteligencia artificial de Anthropic, Claude Fable 5, aterriza en un mercado cripto plagado de problemas de seguridad y podría agravarlos. La compañía lanzó el martes su modelo más potente hasta la fecha, el primero de la clase Mythos accesible al público.
Anthropic ha lanzado dos versiones diferenciadas: una para uso generalizado con filtros de seguridad reforzados y otra, Claude Mythos 5, disponible exclusivamente para usuarios verificados en ciberseguridad e infraestructuras críticas. Esta última variante puede identificar y encadenar vulnerabilidades de día cero (fallos de software desconocidos previamente) y ayudar a convertir un error en un ataque funcional.
Los expertos advierten que el verdadero cambio no radica en que la IA invente nuevos tipos de ataques, sino en la velocidad con que los ejecuta. Charles Guillemet, director de tecnología de la firma de carteras hardware Ledger, señala que las barreras actuales de la IA aumentan la fricción pero no constituyen un control fiable contra un adversario decidido.
DeFi ya ha perdido más de 840 millones de dólares este año
Las finanzas descentralizadas han sufrido pérdidas superiores a 840 millones de dólares por hackeos en los primeros cinco meses del año, según datos de DefiLlama. Solo abril acumuló más de 600 millones, el peor mes registrado para la industria DeFi.
Sin embargo, los dos mayores incidentes no fueron simples exploits de contratos inteligentes del tipo que la IA podría diseñar. En uno, un grupo vinculado a Corea del Norte drenó unos 285 millones de dólares de Drift Protocol tras una campaña de ingeniería social de seis meses que le otorgó acceso de administrador. En otro, el atacante aprovechó un fallo de verificador único que permitió extraer aproximadamente 292 millones de dólares de Kelp DAO.
Un ejemplo adicional ocurrió el martes, cuando Humanity Protocol perdió más de 30 millones de dólares por un compromiso de claves privadas. CoinDesk descubrió que un hacker obtuvo acceso a tres de seis claves privadas en el portátil de un empleado.
La velocidad sobrehumana es el verdadero riesgo
Guillemet subraya que los exploits provienen de puntos débiles conocidos: ingeniería social, flujos de firma defectuosos, claves expuestas y error humano. Un modelo como Fable no necesita entregar un exploit terminado para cambiar la economía de un ataque: puede leer repositorios públicos, comparar versiones antiguas de software, resumir informes de auditoría y redactar mensajes convincentes que buscan los pequeños errores operativos que los humanos pasan por alto.
La inteligencia artificial acelera la fase de reconocimiento, convirtiendo el paso final de firma en más crítico. Las claves privadas necesitan residir donde un portátil comprometido no pueda alcanzarlas, y los usuarios requieren una pantalla de confianza que muestre lo que realmente están aprobando.
«Llamémoslo por su nombre: estos exploits siguen arraigados en la ingeniería social y el error humano. La IA no creó esa realidad. La hizo visible y la aceleró a velocidad de máquina»
Anthropic reconoce que el sistema probablemente no es infalible y espera que atacantes determinados y bien financiados sigan intentando romperlo, porque la capacidad es valiosa. La compañía afirma que equipos especializados en ciberseguridad y más de mil horas de trabajo externo de búsqueda de bugs no encontraron forma universal de quebrar el sistema.
La misma tecnología puede proteger el código
Las mismas técnicas, no obstante, también funcionan para proteger el código. Pendle, un protocolo DeFi de rendimiento, afirma que ha usado los modelos de Anthropic de forma defensiva desde la primera versión de Claude Opus. El equipo utiliza IA para mapear su base de código y someter a prueba sus contratos, incluidos los recién desplegados.
Los desarrolladores de Pendle aseguran que los contratos inteligentes son cortos, con apenas una docena de puntos de entrada. Buenos auditores han podido durante mucho tiempo mantener el estado completo de un contrato en su cabeza y probar cada caso límite. Por ello, consideran que los contratos inteligentes no son el principal motivo de preocupación.
Esto significa que el próximo gran hackeo cripto probablemente no parecerá novedoso: será el mismo paquete envenenado, desarrollador engañado o flujo de firma defectuoso que DeFi ya conoce. Simplemente es probable que llegue antes de lo esperado.
Fuente: CoinDesk · Esta información ha sido elaborada por la redacción de Criptonews con apoyo de herramientas editoriales automatizadas.